C’è un brutto bug in apt (Debian, Ubuntu) che fortunatamente è stato già risolto
Il 22 gennaio scorso, ossia tre giorni fa, Max Justicz ha pubblicato un interessante articolo nel quale mostra come sia possibile ottenere i privilegi di utente root per eseguire codice arbitrario mediante l’utilizzo del tool apt.
apt è il comando standard attraverso il quale, letteralmente da decenni, è possibile installare programmi su sistemi Debian e derivati (quindi Ubuntu, Mint e via dicendo). Ebbene, Justicz ha identificato una falla attraverso la quale è possibile intervenire durante il processo di installazione di un pacchetto, sostituendo una specifica redirect verso un nuovo pacchetto malevolo appositamente creato il quale, ovviamente, permette di eseguire codice con i massimi permessi concessi: quelli di root.
L’articolo oltre ad essere molto utile rappresenta un ottimo esempio di come sia possibile condividere informazioni complesse mediante spiegazioni chiare e POC (Proof Of Concept) replicabili. Poiché si sa, un conto è leggere, un conto è provare con le proprie mani quanto viene spiegato.
La buona notizia è che, come sempre, la community si è subito attivata per risolvere il problema. All’interno di Debian è subito partito un thread dedicato all’argomento e la soluzione è stata resa disponibile in maniera praticamente immediata.
Basterà quindi tenere i propri sistemi aggiornati per non essere soggetti alla vulnerabilità. Che altro aggiungere… Ottimo lavoro!
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale http://www.miamammausalinux.org per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
